Wirus Lovgate

Robak ma postać pliku PE EXE o rozmiarze około 143 KB (kompresja ASPack, rozmiar po rozpakowaniu - około 255 KB). Szkodnik wyposażony jest w procedurę backdoor.

Po uruchomieniu robak kopiuje się do następujących folderów:

C:\COMMAND.EXE

%System%\hxdef.exe

%System%\IEXPLORE.EXE

%System%\kernel66.dll

%System%\RAVMOND.exe

%System%\realsched.exe

%System%\vptray.exe

%Windir%\SYSTRA.EXE

Składniki backdoora umieszczane są w następujących folderach (program Kaspersky Anti-Virus wykrywa te składniki jako robaka I-Worm.Lovgate.w):

%System%\LMMIB20.DLL

%System%\msjdbc11.dll

%System%\MSSIGN30.DLL

%System%\ODBC16.dll

Szkodnik umieszcza w folderach głównych wszystkich dostępnych dysków plik AUTORUN.INF.

Lovegate.ad tworzy i uruchamia kopie swoich poprzedników - I-Worm.Lovgate.f oraz I-Worm.Lovgate.x:

%Windir%\suchost.exe

%System%\NetMeeting.exe

%System%\spollsv.exe

Dla kilku kopii robaka tworzone są klucze auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"Hardware Profile"="%system%\hxdef.exe"

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program In Windows"="%system%\IEXPLORE.EXE"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%system%\spollsv.exe"

"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"WinHelp"="%system%\realsched.exe"

Dodatkowo szkodnik tworzy w rejestrze następujące klucze:

[HKLM\Software\Microsoft\Windows\CurrentVersion\runServices]

"COM++ System"="suchost.exe"

"SystemTra"="%Windir%\SysTra.EXE"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\]

"run"="RAVMOND.exe"

Ponadto robak modyfikuje rejestr systemowy, w wyniku czego jego kopia jest aktywowana podczas otwierania plików tekstowych:

[HKCR\txtfile\shell\open\command]

"default"="Update_OB.exe %1"

Robak automatycznie "odpowiada" na wszystkie wiadomości zapisane w skrzynce odbiorczej programów Microsoft Outlook oraz Outlook Express. Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej oraz z plików posiadających następujące rozszerzenia:

.adb .asp .dbx .htm .php .pl .sht .tbb .wab

W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Wiadomości będące odpowiedziami na listy zapisane w skrzynce odbiorczej wyglądają następująco:

Temat: Re: (temat oryginalny)

W treści oryginalnej jest dodatek:

If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment. Get your FREE YAHOO.COM Mail now!

Nazwa załącznika jest wybierana z poniższych możliwości:

Britney spears nude.exe.txt.exe

Deutsch BloodPatch!.exe

dreamweaver MX (crack).exe

DSL Modem Uncapper.rar.exe

How to Crack all gamez.exe

I am For u.doc.exe

Industry Giant II.exe

joke.pif

Macromedia Flash.scr

Me_nude.AVI.pif

s3msong.MP3.pif

SETUP.EXE

Sex in Office.rm.scr

Shakira.zip.exe

StarWars2 - CloneAttack.rm.scr

the hardcore game-.pif

Wiadomości mogą być tez wysyłane przy użyciu bezpośredniego połączenia z serwerem SMTP odbiorcy. Wyglądają wtedy następująco:

Temat (wybierany z poniższych możliwości):

Error

hello

hi

Mail Delivery System

Mail Transaction Failed

Server Report

Status

test

Treść (wybierana z poniższych możliwości):

Mail failed. For further assistance, please contact!

The message contains Unicode characters and has been sent

as a binary attachment.

It's the long-awaited film version of the Broadway hit.

The message sent as a binary attachment.

Nazwa załącznika (losowy plik posiadający jedno z poniższych rozszerzeń):

.com .exe .pif .RAR .scr

Szkodnik wykorzystuje do rozprzestrzeniania się lukę w zabezpieczeniach systemów Windows. Więcej informacji na temat tej luki można znaleźć w biuletynie firmy Microsoft - http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx.

Robak podejmuje próby kopiowania się na wszystkie komputery dostępne w sieci lokalnej i usiłuje uzyskać dostęp do konta Administratora generując najbardziej popularne hasła takie jak np: guest, administrator, 111111, itp.

Po nawiązaniu połączenia robak kopiuje się do foldera \admin$\system32\NetManager.exe i uruchamia się jako usługa o nazwie Windows Management NetWork Service Extensions, a ponadto udostępnia w sieci lokalnej folder n:\windows\Media jako zasób \\Media.

Robak umieszcza własne kopie (z poniższymi nazwami) na wszystkich dostępnych zasobach sieciowych:

autoexec.bat

Cain.pif

client.exe

Documents and Settings.txt.exe

findpass.exe

i386.exe

Internet Explorer.bat

Microsoft Office.exe

mmc.exe

MSDN.ZIP.pif

Support Tools.exe

Windows Media Player.zip.exe

WindowsUpdate.pif

winhlp32.exe

WinRAR.exe

xcopy.exe

Szkodnik otwiera losowy port TCP i oczekuje na zdalne polecenia. Backdoor pozwala zdalnemu hakerowi na uzyskanie pełnego dostępu do zainfekowanego komputera.

Robak zamyka procesy posiadające następujące nazwy:

Duba Gate KAV kill KV McAfee NAV RavMon.exe Rfw.exe rising SkyNet Symantec

Dodatkowo szkodnik nadpisuje własną kopią (podobnie, jak wirusy towarzyszące) wszystkie pliki EXE zapisane na dyskach od C: do Z:.